Detection de voyage impossible
Qu'est-ce que Detection de voyage impossible ?
Detection de voyage impossibleDetection qui signale des connexions successives depuis des emplacements geographiques trop eloignes pour avoir ete atteints dans le temps ecoule.
La detection de voyage impossible compare la geolocalisation IP de deux authentifications reussies d'une meme identite et calcule la vitesse implicite. Si l'utilisateur se connecte depuis New York a 09:00 UTC puis depuis Singapour a 10:30 UTC, la vitesse depasse largement l'aviation commerciale et le second evenement est traite comme suspect. Microsoft Entra ID, Okta ThreatInsight, Google Workspace et la plupart des SIEM disposent d'une analyse 'voyage atypique' ou 'lieu inhabituel', generalement combinee a des listes de VPN et de noeuds Tor pour limiter les faux positifs. Le signal isole reste rarement concluant : les playbooks modernes l'utilisent pour declencher une authentification renforcee ou revoquer la session, en lien avec la technique MITRE ATT&CK T1078 (Comptes valides).
● Exemples
- 01
Connexion a risque dans Entra ID etiquetee 'voyage atypique' lorsque le meme compte se connecte de Paris et Sao Paulo en 30 minutes.
- 02
Politique Okta ThreatInsight qui revoque les sessions au-dela de 800 km/h de geo-velocite.
● Questions fréquentes
Qu'est-ce que Detection de voyage impossible ?
Detection qui signale des connexions successives depuis des emplacements geographiques trop eloignes pour avoir ete atteints dans le temps ecoule. Cette notion relève de la catégorie Identité et accès en cybersécurité.
Que signifie Detection de voyage impossible ?
Detection qui signale des connexions successives depuis des emplacements geographiques trop eloignes pour avoir ete atteints dans le temps ecoule.
Comment fonctionne Detection de voyage impossible ?
La detection de voyage impossible compare la geolocalisation IP de deux authentifications reussies d'une meme identite et calcule la vitesse implicite. Si l'utilisateur se connecte depuis New York a 09:00 UTC puis depuis Singapour a 10:30 UTC, la vitesse depasse largement l'aviation commerciale et le second evenement est traite comme suspect. Microsoft Entra ID, Okta ThreatInsight, Google Workspace et la plupart des SIEM disposent d'une analyse 'voyage atypique' ou 'lieu inhabituel', generalement combinee a des listes de VPN et de noeuds Tor pour limiter les faux positifs. Le signal isole reste rarement concluant : les playbooks modernes l'utilisent pour declencher une authentification renforcee ou revoquer la session, en lien avec la technique MITRE ATT&CK T1078 (Comptes valides).
Comment se défendre contre Detection de voyage impossible ?
Les défenses contre Detection de voyage impossible combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Detection de voyage impossible ?
Noms alternatifs courants : Voyage atypique, Anomalie de geo-velocite.
● Termes liés
- identity-access№ 015
Authentification adaptative
Approche d'authentification qui ajuste en temps reel la force et le nombre de facteurs demandes en fonction de signaux comme l'appareil, la localisation et le comportement.
- identity-access№ 940
Authentification basee sur le risque (RBA)
Strategie d'authentification qui calcule en temps reel un score de risque pour chaque connexion et adapte la reponse — autoriser, defier ou bloquer — en consequence.
- identity-access№ 1103
Authentification renforcee (step-up)
Modele qui exige des facteurs supplementaires ou plus forts lorsque l'utilisateur tente une operation a risque plus eleve que celui pour lequel sa session a ete autorisee.
- attacks№ 010
Prise de controle de compte (ATO)
Attaque par laquelle un criminel prend le controle non autorise d'un compte legitime pour voler fonds, donnees ou commettre d'autres fraudes.
- attacks№ 1016
Détournement de session
Attaque qui prend le contrôle de la session authentifiée d'une victime en volant ou en forgeant son identifiant de session, pour agir comme l'utilisateur sans ses identifiants.
- defense-ops№ 1189
UEBA (Analyse Comportementale des Utilisateurs et Entités)
Technologie de détection qui modélise le comportement normal des utilisateurs et entités, puis met en évidence les anomalies statistiques ou ML pouvant indiquer une compromission ou un risque interne.